Positive Technologies проанализировала ICO: каждый проект содержит в среднем 5 уязвимостей

Эксперты Positive Technologies изучили проблемы информационной безопасности при проведении ICO и внедрении блокчейна в финансовых организациях. В среднем, каждый такой проект содержит пять различных уязвимостей. Потенциальными целями злоумышленников могут стать сами организаторы ICO и инвесторы, а также смарт-контракты, веб-приложения и мобильные приложения.

В каждом третьем проанализированном проекте были обнаружены недостатки, позволяющие атаковать непосредственно организаторов ICO. Пример — атака с целью получения доступа к электронной почте для восстановления паролей от домена, хостинга и других используемых проектом сервисов. В случае успешной реализации возможна подмена адреса кошелька для сбора средств. Предположительно, так была осуществлена атака на Coindash.io, в ходе которой хакеры похитили $7 млн.

В ходе ICO остро стоит и проблема защищенности инвесторов. В 23% случаев были выявлены недостатки, позволяющие атаковать их. Пример подобной ошибки — многие проекты не регистрируют на себя на всякий случай все возможные доменные имена и аккаунты в соцсетях. В результате злоумышленники могут легко ввести в заблуждение инвесторов: зарегистрировать аккаунт в соцсети с таким же или с очень похожим названием и разместить там свою информацию и ссылки на поддельные фишинговые сайты.

Помимо этого, треть всех уязвимостей были обнаружены в смарт-контрактах. Такие ошибки присутствуют в 71% всех проанализированных проектов. Уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода. Это может приводить к серьезным финансовым потерям, как произошло в случае проектов The DAO и Parity.

Более четверти (28%) всех выявленных недостатков ICO были связаны с веб-приложениями проектов. А ситуация с защищенностью мобильных приложений куда хуже: уязвимости были найдены в 100% проанализированных приложений. В среднем, они содержат в 2,5 раза больше уязвимостей, чем веб-приложения тех же проектов.

«Ряд уязвимостей связан с безопасностью механизма интеграции блокчейна с прочими компонентами приложения. Например, часто неправильно настраивают механизм безопасности CORS[1], — комментирует Денис Баранов, директор по безопасности приложений компании Positive Technologies. — Некоторые уязвимости ICO свойственны всем веб-приложениям вне зависимости от сферы их использования: это инъекции, раскрытие чувствительной информации веб-сервером, небезопасная передача данных, чтение произвольных файлов и другие. Процедура ICO краткосрочна, и крайне важно предусмотреть векторы атак до ее начала, иначе высок риск финансовых потерь».

[1] Позволяет веб-приложению обращаться к приложению блокчейна

www.ptsecurity.ru   www.maxpatrol.ru   www.securitylab.ru








 

ИД «Connect» © 2015-2018

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика